在《雲伺服器管理6大技巧》一文中,已經讨論了将内部使用者目錄源和雲伺服器打通的6種方法,具體包括:
1)手動使用者管理
2)配置自動化
3)将 AD/LDAP 公開到 Internet
4)建立二級 AD/LDAP 使用者源
5)企業身份管了解決方案
6)DaaS身份目錄即服務
前5種解決方案總體上來說面臨4個核心問題。
問題 1:多個目錄
對于企業來說,使用單一使用者源管理内網使用者是一大關鍵。不難想象,如果使用多個目錄或手動管理雲伺服器使用者很容易導緻資料沖突或分歧,後果可能不堪設想。舉例來說,如果企業目錄缺少同步使用者到伺服器通路的目錄服務映射,導緻離職員工仍然可以通路關鍵伺服器,會帶來什麼問題。最直接的後果就是企業安全蕩然無存。而且,随着企業發展,資料安全也會變得更加複雜。
維護多個目錄的做法并不值得提倡,但在某些情況下其實企業是為了解決一些看似無法克服的技術問題而選擇的下下策。預設情況下,LDAP 協定并不适用微軟 Active Directory(AD)。是以,企業要讓 Windows、Mac 或 Linux 用戶端通過 OpenLDAP 進行身份驗證需要付出更多時間和精力。此外,很多企業實在難以實作通過單個目錄管理使用者,是以通常選擇部署微軟 AD 作為Windows 系統的主目錄,再加上 LDAP 伺服器覆寫其他系統上的内容。
問題 2:網絡配置/安全問題暴露
許多企業轉向雲伺服器和雲服務是迫于網絡和相關配置無法有效利用的現實考慮。但是,将目錄服務公開到網際網路或在雲伺服器中建立額外的目錄源都對網絡配置有要求。企業需要謹慎對待網絡通路控制,確定所有機器之間可以正确通信。為此,企業需要注意以下幾點:
- 正确配置防火牆
- 正确設定路由
- 配置任何必要的 VPN 連接配接
- 安裝 SSL 證書并完善相關配置
雖然網絡配置問題可以解決,但大多數業務上雲的企業還是希望避免這一問題。
問題 3:可靠性
傳統的雲伺服器使用者管理方法都存在可靠性問題。
首先,手動管理使用者通路權限很容易出現人為錯誤,不是授權太多通路權限就是使用者名輸入錯誤。另外,在雲伺服器中建立新的目錄伺服器也會涉及額外工作,因為目錄伺服器需要高度的可用性,任何時間的停機都可能導緻使用者無法完成工作。
最後,将企業目錄伺服器暴露在網際網路上還可能會招緻攻擊或受到網絡連接配接問題的影響,要解決這些問題需要實作負載平衡或增加伺服器容量。
問題4:高成本
雲伺服器使用者管理傳統方案的另一個問題就是成本太高,這裡的成本不僅指費用,還包括時間和資源。不過,無論采用哪種方案,管理全部使用者通常都不是伺服器的核心功能,為了安全而将資源全部集中在非核心任務上,對于企業來說也是一筆不小的成本。
真正有效的解決方案
本文開頭提到的第6個解決方案是身份目錄即服務(DaaS)。 DaaS 身份目錄雲平台可對接企業内部 AD/LDAP 目錄,進而有效管理網絡,減少人為錯誤,簡化管理問題。
在部署雲目錄的初始階段,企業可以将伺服器指向 LDAP 伺服器進行身份驗證或安裝代理,兩種方法都具有多級備援的高度安全性和可靠性。此外 DaaS 身份目錄雲平台還可以幫助企業統一管理使用者身份,支援單點登入(SSO)、雙因子認證(MFA)等身份和通路管理工具,并提供不同系統的裝置管理。
![1.6 Linux指令行使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)